15.6.20

Алгоритм оценки необходимости выполнения НПА по ИБ

В последнее время, несмотря на коронавирус и самоизоляцию, наши регуляторы и законодатели не устают выпускать новые нормативные акты, а в различных чатиках, каналах и группах вновь стали подниматься вопросы выполнения нормативных актов, известных уже не первый, и даже не пятый, год (например, ФЗ-152). И часто эти вопросы звучат в контексте, а как выполнять то или иное требование (или весь НПА)? При этом почти никогда не звучит вопрос, а надо ли вообще выполнять это требование или НПА. Я прекрасно понимаю, что для классического, "законопослушного" безопасника это звучит крамольно, но с точки зрения бизнес далеко не вес нормативные акты надо бежать выполнять по мере их выхода. Я для себя сформировал некую процедуру, ответив на вопросы которой, можно понять, насколько стоит вообще задумываться о выполнении тех или иных приказов, постановлений, положений, указаний, информационных сообщений и т.п.

Итак, процедура состоит из ответов всего на 5 вопросов. Первый из них звучит просто - "есть ли данное требование в НПА?". Да-да, очень часто мы спорим о требованиях, которых просто нет в нормативных актах, а он являются скорее примером "испорченного телефона". Набивший оскомину, но при этом оставшийся классическим пример связан с сертификацией средств защиты информации. Такого требования, например, а ФЗ-152 (о персональных данных) или ФЗ-187 (о КИИ) нет, но многие почему-то просто жаждут применения таких средств из все больше и больше сокращающегося списка. Поэтому я рекомендую в таких случаях самостоятельно читать НПА. Или вот вопрос о мифических требованиях ФСБ к средствам ГосСОПКИ. Таких требований нет, но я упорно слышу от заказчиков, которые услышали это ряда отечественных вендоров, что требования якобы есть и их надо выполнять.  

Второй вопрос связан с легитимностью нормативного акта. Да, не каждый выпущенный нормативный акт является легитимным. И хотя число нелигитимных НПА в нашей области постоянно сокращается, все-таки стоит смотреть, насколько требования по принятию и регистрации НПА соблюдены. Третий вопрос касается надзирателей за требованиями. Важно не только иметь легитимные требования, но и орган, который имеет право надзирать за соблюдением этих требований. Например, требования по импортозамещению ПО и железа, включая средства защиты, у коммерческих компаний (с госами ситуация иная). Требования есть, но кто имеет право проверять их соблюдение? Минцифра? Увы, нет. Так стоит ли напрягаться по этому поводу и вкладываться в то, что никто не способен проконтролировать? Или требования по защите ПДн. Проверять их может ФСТЭК и ФСБ, но... только в государственных и муниципальных операторах ПДн. А для проверки коммерческих организаций им нужно отдельное распоряжение Президента страны и я что-то такого не помню за 9 лет существования такого требования.

Четвертый вопрос еще интереснее. Вот есть у вас требование и оно легитимное и даже проверяющие есть, и они даже прийти могут проверить. А наказать они нас могут, если мы что-то не выполняем? Например, по теме КИИ сейчас всего одна статья и она уголовная (ст.274.1). Да, регуляторы внесли законопроект об изменении КоАП и появлении там новых составов правонарушений, но пока их нет. А раз наказать нельзя, то стоит ли так стремиться выполнять требования? С точки зрения бизнеса, который считает свои затраты и не видит рисков, положительный ответ будет не столь очевидным. Понятно, что можно расширить этот вопрос и уточнить масштаб наказания. Например, за невыполнение требований ФЗ-152 размер штрафов незначительный, в отличие от штрафа за нарушение GDPR. 

Наконец, пятый вопрос будет звучать так - "Наказание есть, но его когда-нибудь применяли?" То есть важен не только сам факт наличия наказания за невыполнение требований, но и правоприменительная практика по этому направлению. А том может оказаться, что за нарушение требований никто и никогда не наказывал. Например, есть такое Постановление Правительства №584 о защите информации в платежных системах. Там и требования, и регуляторы, и право проводить надзор, а вот проверок ноль. 


Если следовать этому простому алгоритму, то число требований, который нам надо будет соблюдать с точки зрения кибербезопасности может существенно сократиться и нам не придется тратить много денег своей компании и сидеть и бояться мифических проверок. Повторюсь, что это взгляд с точки зрения бизнеса, который рассматривает любое ограничивающее его законодательство как налог, который надо оптимизировать. И ИБ должна не мешать это делать, запугивая начальство карами небесными, а способствовать разумной трате денег, которые в условиях коронавируса и так сокращаются.


Но нельзя не сказать и об обратной стороне медали. Описанный алгоритм корректен в ситуации, когда мы живем в стране, где верховенствует закон. Но у нас увы, как показывает опыт последних 2-3 месяцев, когда власти принимают нормы, ограничивающие права граждан в нарушение действующего законодательства, существует вероятность, что вас придут проверят независимо от того, есть у проверяющих права на это или нет и накажут вас даже при отсутствии соответствующих статей в КоАП. Как говорится "был бы человек, а статья найдется". И ситуация явно не становится лучше. Поэтому описанный выше алгоритм стоит вписывать в существующую в организации стратегию управления рисками и танцевать уже от нее. Кто-то вполне всерьез рассматривает риски наезда со стороны государства, кто-то нет...

15 коммент.:

Unknown комментирует...

Есть практика проверок прокуратурой по выполнению требований к ЗО КИИ, вы писывают представление об устранении обязательных требований ( сейчас по КИИ это перечень и категория), и давят пока не выполнят. Судя по тенденции - это устойчивый процесс, и он будет только набирать обороты. В отличии от штрафов за использование не сертифицированных сзи - там практика разовая, штрафы смешные (500 рублей)

Алексей Лукацкий комментирует...

Да, и это тоже укладывается в алгоритм :-)

Unknown комментирует...

"сертификацией средств защиты информации. Такого требования, например, а ФЗ-152 (о персональных данных) или ФЗ-187 (о КИИ) нет"

а 19.2.3 ? или речь о другом?

Алексей Лукацкий комментирует...

А там есть слово сертификация? Или все-таки оценка соответствия?

Unknown комментирует...

Ну, под оценкой соответствия понимают процесс определения соответствия чему-либо. Результатом этой оценки должен быть какой-либо документ. В нашем случае, при положительном истечении - сертификат, при отрицательном - отказ и поиск нового СЗИ. На мой взгляд, там всё логично написано.

Алексей Лукацкий комментирует...

Мы говорим не о логике, а о законодательстве. Термин "оценка соответствия" вполне конкретен и определен в ФЗ-184 о техническом регулировании, в котором четко сказано, в каких формах и в каких случаях проводится оценка соответствия. Ровно той же позиции придерживается и ФСТЭК, которая в своих официальных ответах четко пишет, что сертификация по ФЗ-152 не является обязательной.

Дмитрий комментирует...

"Или вот вопрос о мифических требованиях ФСБ к средствам ГосСОПКИ. Таких требований нет..."
Есть же довольно не мифический приказ ФСБ от 06.05.2019 N 196 "Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты", где прописаны те самые требования.

Алексей Лукацкий комментирует...

Я ждал этого коммента :-) Но речь о другом. Должна быть процедура оценки соответствия этим требованиям, без которой эти требования не работают. А они и не работают, так 2/3 российских SOCов, заключивших соглашения с НКЦКИ, работают на ArcSight или QRadar, которые никак не соответствуют 196-му приказу.

Дмитрий комментирует...

Как посмотреть, если ArcSight или QRadar используется\рассматривается как единое\единоличное средство ГосСОПКИ, то да на 100% они не будут соответствовать 196-му приказу, если же мы добавим сюда IDS\IPS, анализаторы, сканеры угроз\уязвимостей, то тогда уже можно говорить о соответствии требованиям.

Из этого вывод (именно для этого случая), есть четкие требования (по большей части) к средствам ГосСОПКИ и есть регулятор, который согласовывает или нет подключение.

Но это я так зацепился, именно, к тому что таких требований нет:)

Алексей Лукацкий комментирует...

У вас не же не средствО, а средствА, то есть они разные. Есть SIEM, есть сканеры, есть СОА и т.п. И они все должны быть российскими, что не выполняется применительно к ArсSight или QRadar

Дмитрий комментирует...

Я и сделал уклон в предыдущем комментарии, что не средствО, а средствА надо применять.

Опять же я говорю про требования (требования эти есть, они четко прописаны в 196-м приказе ФСБ), а вы про то что средства должны быть российскими (в тексте 196 приказа я такого не увидел, скорее всего вы имеете ввиду "импортозамещение", но это уже чуть другой вопрос, который не относится к НАЛИЧИЮ требований к средствам ГосСОПКИ).

ArсSight или QRadar частично закрывают требования в рамках 196-ого приказа, но не все конечно (поэтому и нужны дополнительно СОА\СОВ, сканеры и т.п.).

Алексей Лукацкий комментирует...

Это не требования, а хрень полная. Вот требования ФСБ к СОА - это требования. И требования ФСТЭК к МСЭ - это тоже требования. А 196-й приказ - это "нате, отвалите. вот вам хоть что-то, что можно назвать требованиями". И речь идет не про импортозамещение, а про требования 3.3 и 3.4

Packers And Movers Bangalore комментирует...
Этот комментарий был удален администратором блога.
Packers Movers Hyderabad комментирует...
Этот комментарий был удален администратором блога.
Packers and Movers Ahmedabad комментирует...
Этот комментарий был удален администратором блога.